IAS als Radius-Server - funktioniert nicht

12/02/2010 - 13:38 von Sebastian Suchanek | Report spam
Hallo NG!

Ich schreib's mal hier, weil mir die NG am passendsten erscheint - falls
jemand eine besser weiß, bitte f'uppen.

Aber nun zu meinem eigentlichen Problem: Ich muß auf einem Windows
2003er Server einen RADIUS-Serverdienst aufsetzen. Kein Problem soweit,
dachte ich mir, ist ja schließlich bei 2k3 dabei (In Form des IAS).

Allerdings funktioniert das ganze nicht wie gewünscht. Ich habe bislang
- den IAS installiert,
- mein Notebook als testweisen Client definiert,
- eine RAS-Richtlinie definiert, die meiner Active-Directory-Usergruppe
Zugriff gewàhren soll,
- den IAS im Active Directory registriet und
- den IAS gestartet.

Setze ich von meinem (Linux)-Notebook einen Test ab, sieht das im
Ergebnis so aus:

$ radtest suchanek PASSWORT SERVER-IP 10 SHAREDSECRET
Sending Access-Request of id 161 to SERVER-IP port 1812
User-Name = "suchanek"
User-Password = "PASSWORT"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
rad_recv: Access-Reject packet from host SERVER-IP port 1812, id1,
length
$

(Statt SERVER-IP, PASSWORT und SHAREDSECRET stehen da natürlich die
richtigen Werte)
IOW: Der IAS làuft zwar und gibt mir Antwort, jedoch erkennt er meine
Anmeldung nicht an. :-(

Das Logfile vom IAS sieht für mich relativ nichtssagend aus:

8< --
127.0.1.1,suchanek,02/11/2010,15:09:38,IAS,SERVER-NAME,4,127.0.1.1,5,10,4108,SERVER-IP,4116,0,4128,Test
(Notebook),4155,1,4154,Windows-Authentifizierung für alle Benutzer
verwenden,4129,OU\suchanek,4127,1,4149,Verbindungen mit anderen
Zugriffsservern,25,311 1 192.168.0.1 02/11/2010 09:05:24
6,4130,FQDN/Sebastian Suchanek,4136,1,4142,0
127.0.1.1,suchanek,02/11/2010,15:09:38,IAS,SERVER-NAME,25,311 1
192.168.0.1 02/11/2010 09:05:24 6,4130,FQDN/Sebastian
Suchanek,4149,Verbindungen mit anderen
Zugriffsservern,4108,CLIENT-IP,4116,0,4128,Test
(Notebook),4155,1,4154,Windows-Authentifizierung für alle Benutzer
verwenden,4129,OU\suchanek,4127,1,4136,3,4142,66
8< --

Wo könnte das Problem liegen, bzw. wo und wie kann ich weiter auf
Ursachenforschung gehen?


Tschüs,

Sebastian
 

Lesen sie die antworten

#1 Sebastian Suchanek
23/02/2010 - 14:58 | Warnen spam
Am 12.02.2010 13:38, schrieb Sebastian Suchanek:

Hallo NG!

[IAS als RADIUS-Server]
Allerdings funktioniert das ganze nicht wie gewünscht. Ich habe bislang
- den IAS installiert,
- mein Notebook als testweisen Client definiert,
- eine RAS-Richtlinie definiert, die meiner Active-Directory-Usergruppe
Zugriff gewàhren soll,
- den IAS im Active Directory registriet und
- den IAS gestartet.

Setze ich von meinem (Linux)-Notebook einen Test ab, sieht das im
Ergebnis so aus:

$ radtest suchanek PASSWORT SERVER-IP 10 SHAREDSECRET
Sending Access-Request of id 161 to SERVER-IP port 1812
User-Name = "suchanek"
User-Password = "PASSWORT"
NAS-IP-Address = 127.0.1.1
NAS-Port = 10
rad_recv: Access-Reject packet from host SERVER-IP port 1812, id1,
length
$



Inzwischen bin ich nach etwas herumprobieren um eine klitzekleine
Erkenntnis reicher: Wenn ich im IAS-Konfigurationstool unter
"Verbindungsanforderungsverarbeitung" =>
"Verbindungsanforderungsrichtlinien" in der vorhandenen
(Beispiel?)-Richtlinie "Windows-Authentifizierung für alle Benutzer
verwenden" unter "Eigenschaften" => "Profil bearbeiten" =>
"Authentifizierung" von "(o) Anforderung auf diesem Server
authentifizieren" auf "(o) Benutzer ohne Bestàtigung der
Anmeldeinformation annehmen" umstelle, erhalte ich beim o.g. ein
"Acces-Accept" als Antwort.

Nutzername und Passwort zu ignorieren ist natürlich nicht Sinn der
Sache, aber für mich ist das ein Hinweis, daß es möglicherweise dabei
hakt, daß der IAS die Benutzerinformationen aus dem Active Directory
ausliest. IAS ist aber, wie bereits oben geschrieben, im AD registriert.
Wo könnte noch das Problem liegen?


Tschüs,

Sebastian

Ähnliche fragen